Zum Inhalt wechseln


Foto

DirectAccess hinter Reverse Proxy


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 Andreas83

Andreas83

    Junior Member

  • 277 Beiträge

 

Geschrieben 03. Februar 2017 - 06:04

Guten Morgen, 

 

ich hatte bis gestern ein funktionierendes DirectAccess auf einem 2012 R2 mit selbst signiertem Zertifikat was bei der Einrichtung des DirectAccess automatisch mit der externen Domain erstellt wurde. Diese Domain verweist auf meine WAN IP und 443 wurde an den DirectAccess Server weitergeleitet.

 

Nun haben wir aber mehrere Dienste welche 443 benötigen. Somit habe ich in unserer GateProtect (Rhode & Schwarz) GPO-150 den Reverse Proxy aktiviert, bei Let´s Encrypt ein 90 Tage Zertifikat mit mehreren Subdomains erstellt und im Reverse Proxy eingebunden. 

 

Dienst wie Outlook Anywhere oder OWA funktionieren einwandfrei. Im Browser sehe ich das Let´s Encrypt Zertifikat. 

 

Beim Exchange habe ich auch ein selbst signiertes Zertifikat was ich nach Einbindung des Reverse Proxy aber nicht bzw. noch nicht angefasst habe. Daher habe ich auch beim DirectAccess noch keine Veränderungen vorgenommen.

 

Leider funktioniert DirectAccess nicht. 

 

Habt ihr mir hier einen Ansatz was ich noch tun muss, was ich evtl. übersehen habe? 

 

 

Vielen Dank für jeden Hinweis. 

Grüße Andreas

 



#2 DocData

DocData

    Board Veteran

  • 1.318 Beiträge

 

Geschrieben 03. Februar 2017 - 07:54

Terminiert der Reverse Proxy die SSL Sitzung, oder wird das zum Endpoint weitergeleitet?


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#3 Andreas83

Andreas83

    Junior Member

  • 277 Beiträge

 

Geschrieben 03. Februar 2017 - 10:07

der Reverse Proxy wird im HTTPS Modus betrieben somit wir die Verbindung vom Proxy terminiert und zum internen Server eine zweite HTTPS Verbindung aufgebaut. So die Aussage des Firewall Supports



#4 DocData

DocData

    Board Veteran

  • 1.318 Beiträge

 

Geschrieben 03. Februar 2017 - 19:42

Dann solltest du, wenn du OWA über den RP aufrufst, das Let's Encrypt Zertifikat sehen.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#5 Andreas83

Andreas83

    Junior Member

  • 277 Beiträge

 

Geschrieben 04. Februar 2017 - 06:04

Genau, habe ich oben beschrieben, OWA zeigt das Let's Encrypt Zertifikat.
Muss ich direct Access was beachten? Gerade wegen Zertifikat zwischen Firewall und DirectAccess Server?

#6 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 04. Februar 2017 - 08:44

Afair ist ssl offloading bei direct access unsupported. Ob man es trotzdem hinbekommen kann, hab ich nie probiert.
Mit netscaler scheint es wohl zu funktionieren:
https://directaccess...ag/ssl-offload/

Make something i***-proof and they will build a better i***.


#7 Andreas83

Andreas83

    Junior Member

  • 277 Beiträge

 

Geschrieben 05. Februar 2017 - 17:18

das klingt alles andere als gut. Dann kann ich nur hoffen ich bekomme bald einen zweiten VDSL :-(

Wenn noch jemand eine Idee hat, bitte her damit. 



#8 DocData

DocData

    Board Veteran

  • 1.318 Beiträge

 

Geschrieben 05. Februar 2017 - 17:35

Eine ordentliche Leitung, bei der man auch ein /29er bekommt.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#9 Andreas83

Andreas83

    Junior Member

  • 277 Beiträge

 

Geschrieben 06. Februar 2017 - 12:59

wäre es denkbar in den GPO die URL für den Client auf z.B. 8443 anzupassen und dann anstelle des Reverse Proxy eine Portweiterleitung an den internen DirectAccess Server auf Port 443 zu konfigurieren?



#10 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 06. Februar 2017 - 13:08

Ich denke nicht, dass das geht. Zumindest eine kurze Recherche (die du offensichtlich nicht unternommen hast) bringt nur Fehlschläge von Leuten mit ähnlichen Absichten wie deinen zu Tage. ;)

Make something i***-proof and they will build a better i***.


#11 WSUSPraxis

WSUSPraxis

    Expert Member

  • 4.128 Beiträge

 

Geschrieben 07. Februar 2017 - 08:01

Hallo Andreas,

 

wie Nobert schon sagt haben deine Vorhaben viele probiert und sind gescheitert.

 

Viele Grüße Arnd


Arnd Rößner

WSUSPraxis.de = http://www.wsuspraxis.de
Blog.WSUSPraxis.de = http://blog.wsuspraxis.de

#12 Andreas83

Andreas83

    Junior Member

  • 277 Beiträge

 

Geschrieben 11. Februar 2017 - 11:36

Hallo nochmal,

 

abschließend noch eine Info, auch wenn es nur ein Workaround ist bis ich entweder einen Anschluss mit mehreren IP habe oder einfach einen zweiten schnellen V-DSL.

Auch wenn es für den ein oder anderen nicht die sauberste Lösung ist, mir hilft Sie temporär. 

 

a) Ich habe nun 443 ohne Reverse Proxy für DirectAccess an den DirectAccess Server weitergeleitet. 

B) DirectAccess funktioniert nun per LTE und V-DSL Anschlüssen (Probleme noch mit UnityMedia aber das ist ein anderes Thema)

c) für Smartphone habe ich am Gateway 9443 an intern 443 weitergeleitet, somit profitiert diese Verbindung nun auch vom V-DSL

d) Outlook komuniziert über DirectAccess mit Exchange, somit brauche ich hier gar kein 443 mehr weiterleiten. 

 

Nun heißt es nur noch dieses verdammte Problem lösen dass es an bzw. mit vielen UnityMedia Anschlüssen Probleme gibt, trotz dass mein eigener tarif einer ist wo ich eine richtige IPv4 Adresse erhalte, nix DS-Lite oder sonst was.

 

Aber dazu gibt es schon ein Thema von mir, entweder rolle ich das nochmal auf oder erstelle ein neues.

 

Danke nochmal für eure Vorschläge 



#13 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 11. Februar 2017 - 12:02

Schneller wird der Outlook Zugang dadurch aber nicht. Bei direct access sollte man sehr genau darauf achten, ob man seine Dienste durch den Tunnel oder außen herum erreichen will/kann. In deinem Fall als workaround ok, aber sauber ist es eben nicht.

Make something i***-proof and they will build a better i***.